EuroBlech Murrelektronik

GDPR pro průmyslové podniky

Když se objeví zkratka GDPR, firmám se vybaví, díky velké medializaci, především strašák vysokých pokut. Současně může některý management tvrdit, že jde o další zbytečný „výmysl“ EU. Nejde však o zbytečnost, ale o ochranu fyzických osob, které dané společnosti zapůjčily svoje osobní údaje, a to za nějakým účelem a na předem definovanou dobu.

 

Hlavním záměrem zavedení nových pravidel zacházení s osobními údaji je dát lidem větší kontrolu nad tím, co se s jejich osobními daty děje. A netýká se to zdaleka jen marketingových aktivit a dalších operací charakteristických shromažďováním různých informací.

Specifika průmyslu z pohledu GDPR
Většina obráběcích strojů je číslicově řízená - zpravidla takovým způsobem, že systém dostane výkres ve formátu AutoCADu a převede ho do příkazů CNC stroje - existuje tedy propojení mezi počítačovou sítí podniku a jednotlivými výrobními stroji (zde lze spatřit možnost pro hackery - tato komunikace s CNC stroji nebývá ve velké většině šifrovaná, jejich monitorováním lze zjistit parametry výroby, odvodit výrobní principy atd.). Vzhledem ke konkurenci si průmyslové podniky musí chránit i databázi zákazníků a subdodavatelů včetně cenových nastavení - pokud budu chtít poslat podnik do ztráty, mohu s určitou znalostí stavu přeplatit např. strategického dodavatele tak, aby dodávku potřebného dílu opozdil či nedodal vůbec.

Část firem se možná bude snažit povinnosti vyplývající z GDPR zjednodušit tvrzením, že mezi jejich zákazníky patří pouze právnické osoby. Nicméně i výrobní a průmyslové společnosti budou muset povinnosti vyplývající z nařízení GDPR splnit. Osobní údaje jsou mj. i kontaktní údaje právnických osob v roli dodavatelů nebo odběratelů, neboť i za právnickou osobou stojí osoba fyzická, s níž bude společnost jednat. Musíme si však uvědomit, že osobní údaje o konkrétních fyzických osobách tyto podniky zpracovávají také - jde o osobní údaje vlastních zaměstnanců. Podobné to je s B2B systémy. Tyto většinou fungují na principu elektronické výměny dat. Těmi mohou být základní informace, např. objednávky, faktury. Mnohdy tyto systémy fungují v cloudovém prostředí, kdy za provoz takového systému odpovídá jiná společnost. I zde najdeme osobní údaje (přihlašovací údaje, informace o účtu), ve velké většině těchto systémů je přihlašovacím údajem e-mailová adresa.

Ochrana dat uchazečů o zaměstnání a sezónních pracovníků
Problém s ukládáním osobních dat sezónních zaměstnanců je podobný jako s uchováváním životopisů uchazečů o práci za účelem dalšího možného oslovování. Pokud si budeme životopisy či kontaktní údaje sezónních zaměstnanců a potenciálních uchazečů o zaměstnání uchovávat za účelem jejich oslovení při novém náboru, jde z pohledu GDPR o sběr osobních údajů, kdy příslušná fyzická osoba musí dát souhlas se zpracováním poskytnutých dat, a to na celou dobu, po kterou budeme tato data uchovávat a zpracovávat. V souhlasu musí být uvedeno, za jakým konkrétním účelem je poskytován a na jakou dobu. Pokud daná fyzická osoba souhlas odvolá, musí existovat proces, který zabezpečí dokonalý výmaz těchto osobních údajů, nebo jejich naprostou anonymizaci. Současná úprava souhlasu se zpracováním osobních údajů tak z pohledu GDPR není dostačující.

Jak naložit s odbory?
V mnoha průmyslových podnicích působí i odborové organizace. Problém odborových organizací vidím v tom, že současně platný zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 4 definuje citlivý osobní údaj jako „osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích,...“ Tyto citlivé (dle GDPR zvláštní) osobní údaje mají vyšší nároky na bezpečnost a nakládání s těmito údaji. Při zpracování těchto údajů je nutný výslovný souhlas dotčené fyzické osoby a musí se provádět další specifická opatření k jejich ochraně.

Jakým způsobem postupovat při implementaci GDPR?
V rámci implementace požadavků GDPR se osvědčily především následující kroky:

1.    Inventura dat
Jde o řízené rozhovory (workshopy) s jednotlivými odděleními, kdy se snažíme (převážně metodou brainstormingu) odpovědět na následující otázky:
-    Jaká data zpracováváte?
-    Kde jsou uložena?
-    K čemu jsou využívána?
-    Na jakém základě tyto informace sbíráte (zákonné důvody, souhlas fyzické osoby, …)?

2.    Procesní inventura
-    Jaká existují pravidla pro jejich zpracovávání?
-    Kdo k těmto informacím má přístup a v jakém rozsahu?

3.    Businessová analýza
Jaké jsou důvody sběru a zpracování těchto údajů:
-    Definování vlastníka procesu (účelu sběru zpracování).
-    Jaké má toto zpracování přínosy pro společnost?
-    Jaká existují rizika při zpracování těchto údajů (ztráta dostupnosti, integrity, důvěrnosti)?

4.    Nové procesy a postupy vyžadované GDPR
-    Posouzení souhlasů se zpracováním osobních údajů.
-    Posouzení smluvní dokumentace (zpracovatelské smlouvy, …).
-    Posouzení účelnosti a přiměřenosti zpracování (nastavení doby zpracování a ukládání osobních údajů, nutnost zpracovávání, …).
-    Kontrola uživatelských přístupů.
-    Kontrola dokumentační základny.
-    Definice hrozeb působících na zpracování.
-    Analýzy rizik.

5.    Návrh bezpečnostních opatření
-    Provedení analýzy rizik, určení akceptovatelné míry rizika.
-    Seznam bezpečnostních opatření.
-    Vytvoření roadmapy a prioritizace implementace bezpečnostních opatření (procesní i technologická rovina).

Těchto 5 základních kroků položí základy pro dosažení souladu s požadavky GDPR, nicméně jde jen o první část celého procesu. Po ní následuje nezbytná část implementační, v níž se musí definovaná bezpečnostní opatření nejen implementovat, ale i popsat (minimálně v rozsahu pracovních postupů) a provozovat.
Implementace požadavků GDPR nebude jednoduchá, povinnost přijmout nutná bezpečnostní opatření však platí pro všechny. V současnosti je přitom nevětším rizikem čas. Evropské nařízení o ochraně osobních údajů platí od dubna 2016 a účinnosti nabude (tzn. jinými slovy - stane se neoddiskutovatelnou povinností) od 25. května tohoto roku.

Zbyněk Malý, ANECT

 
Publikováno: 1. 3. 2018 | Počet zobrazení: 453 článek mě zaujal 20
Zaujal Vás tento článek?
Ano